L’application de chiffrement Upstart annule les revendications de confidentialité et se retire des magasins après enquête • The Register

Un nouveau service de messagerie qui prétendait donner la priorité à la confidentialité a retiré ses revendications de cryptage de bout en bout de son site Web et de son application auprès des magasins de logiciels Apple et Google après avoir été appelé en ligne.

Converso, une application de communication lancée en septembre 2022, s’est présentée comme une “application de messagerie de nouvelle génération qui garde vos conversations complètement privées”. Ceci, selon le site Web du développeur, comprenait “propriété technologie de cryptage de bout en bout à la pointe de la technologie”, aucun stockage des messages sur les serveurs, et “absolument aucune utilisation des données utilisateur.” Il a affirmé qu’il pourrait affronter Signal et WhatsApp dans les paris sur la sécurité.

Un blogueur qui se fait appeler Crnković et qui s’intéresse aux protocoles de cryptage a entendu parler de Converso via une annonce de podcast et a décidé d’enquêter pour voir si le logiciel était à la hauteur du battage médiatique.

Pour ce faire, il a téléchargé l’APK et a déclaré qu’il avait découvert que le code de Converso faisait référence aux algorithmes cryptographiques AES et RSA, et à un kit de développement logiciel direct de Seald pour le chiffrement et l’authentification à clé publique.

Surtout, et le plus inquiétant, Crnković a découvert que l’application parlait à une base de données hébergée sur Google Cloud que les développeurs du logiciel laissaient complètement ouverte au public. On nous dit que cette base de données Firestore comprenait du contenu de message crypté, des métadonnées sur les messages des personnes, leurs clés de cryptage privées, leurs numéros de téléphone, etc. Essentiellement, n’importe qui pourrait obtenir cette information et déchiffrer le message d’un étranger qui est passé par l’application, selon le chercheur.

Crnković a conclu :

“Disséquer Converso était en grande partie un exercice d’apprentissage au fur et à mesure pour moi, car je n’ai aucune expérience préalable en rétro-ingénierie d’applications mobiles”, a déclaré Crnković. Le registre. “J’ai été surpris par chaque erreur exponentiellement pire.”

Crnkovic publié un article de ces découvertes le 10 mai, et Le registre a contacté Converso le 12 mai pour sa réponse. Le 13 mai, une grande partie du libellé du site Web, y compris les revendications “propriétaires” d’E2EE, avait disparu ou avait été considérablement édulcorée.

Le PDG et fondateur de Converso, Tanner Haas, dans un long e-mail à Le registreIl a déclaré que sa startup « prend les problèmes de confidentialité très au sérieux, et lorsque nous avons été informés des vulnérabilités, nous avons immédiatement travaillé pour les résoudre le plus rapidement possible ».

“Toute information relative aux utilisateurs, numéros de téléphone et données est protégée et non accessible aux attaquants”, a déclaré Haas. Eh bien, nous l’espérons pour le moment. Il a refusé de répondre à une question sur un tracker Google Analytics trouvé dans l’application, dont la présence dans une application de confidentialité est mal vue par certains dans le monde de la sécurité de l’information.

Lorsqu’on lui a demandé quel(s) protocole(s) de cryptage Converso utilise, Haas a indiqué Le registre vers Site Internet de Seal.

Nous avons également demandé à Haas si Converso utilise Seald comme seule autorité de certification pour l’application afin de mapper les identités aux clés publiques, comme Crnković l’a souligné sur son blog.

“Bien que Seald soit utilisé comme autorité de certification tierce, il existe des étapes d’authentification supplémentaires conçues pour empêcher quelqu’un de lire les messages protégés d’autres utilisateurs”, a écrit Haas dans l’e-mail. “Cela inclut d’empêcher les utilisateurs d’accéder à des textes chiffrés qui ne leur sont pas destinés.”

Le service de messagerie “avait déjà reconstruit le flux d’authentification de l’application avant que des problèmes potentiels ne soient exposés. Tous les secrets qui ont été divulgués côté client proviennent d’une ancienne version de l’application, et ceux qui se trouvent dans les dernières mises à jour n’utilisent plus les identités générées. dans la version précédente », a-t-il déclaré.

Haas a encouragé Crnković à réessayer Convert in 60 Days “avec le même enthousiasme” que le blog d’origine. Il a également réitéré que “nous n’avons jamais eu et n’aurons jamais d’utilisation commerciale des données des utilisateurs”.

De plus, l’application a été “temporairement supprimée” de l’App Store et de Google Play “pendant que nous corrigeons et améliorons toutes les vulnérabilités potentielles restantes”.

Que le compte à rebours commence. ®